安全大模型应用观察 | 安全专家入场 开启自动化的智能安全运营

在观察大模型如何应用到网络安全系列报道的开篇综述里，安全419分析到，凭借大模型优异的上下文语义理解分析能力、代码理解能力和复杂推理能力，可以多维度提升效率与精度，在诸多安全细分领域具备高潜应用场景。

本期，我们着重探讨大模型在安全运营场景的应用和发展趋势。

安全运营的本质是什么？运营已经完成建设的安全能力的工具、平台与系统，以实现安全风险与事件的发现、分析与响应。

风险和事件是相互演化与发展的，当风险得不到控制就演化为事件，当事件得不到响应与处置，就会演化为新的风险。而安全的目标就是要尽可能、尽早地发现并化解风险，遏制事件的负面后果，防止新的风险再次冒头。

因此，安全运营本质上是数据在安全领域的运营，安全运营体系实际上是构建了一个安全领域的数据应用要素体系，定义出数据以及数据源，依靠工具和专家共同实现基于数据的分析体系。

那么，如今的安全运营体系是否能够有效应对安全风险与事件呢？生产力决定着安全运营的效率和质量，在目前的风险境况和安全能力的对抗下，企业侧生产力短缺的情况比较普遍，主要反映在：

囿于以上瓶颈和困境，自动化和智能化就成为安全运营提升效能的方向。基于大模型的重建，将给安全运营体系带来怎样的机遇呢？我们可以从知识语义的增强、任务分析决策、人机交互范式几个方面作出分析。

即利用大模型的上下文语义理解分析能力和复杂推理能力，将人依靠知识和经验能够辨别的威胁，以及传统特征方式不好辨认的威胁识别出来。通过自动分析告警和日志，评估风险，帮助安全团队更快地响应安全事件并优化安全策略。

大模型具备的常识和知识体系是其发展出通用智能的关键基础，将安全知识与经验作为语料训练出安全大模型，其本质就是替换了需要运维人员和高级安全专家才能执行的任务，让大模型替代执行重复任务和复杂任务。

即通过将大模型的总结、分析、归纳能力链接到传统安全设备，通过自然语言交互来降低人员参与的门槛，显著降低安全设备的运营难度，并加速日常运营工作的流程，自动检测、修复、报告等大幅提升安全运营的效率。

过去一年多，伴随通用大模型崛起，国内外的安全大模型也纷纷落地，并嵌入不同的安全运营产品或体系，施展降本增效的魔力。

不依赖开源模型服务，由大模型算法+威胁情报+安全知识自主训练而成，训练数据部署在深信服托管云上实现数据不出境。落地应用为检测大模型和运营大模型，赋能到XDR平台、安全托管服务MSS。

在安全运营层面，定位为一个虚拟安全专家实现自动化值守。基于思维链理解安全事件，可自主地对所有告警和事件进行研判、处置、总结，实现绝大多数告警的闭环，重点表现在自主研判告警并处置完成，多模交互确保研判处置可解释，自然语言对话让分析过程可解释，实现30秒研判遏制威胁，单一事件平均闭环时间缩减96.6%。

基于千亿参数通用大模型360智脑，通过蒸馏、继续预训练、有监督精调等技术手段训练而成，再配备企业安全智控系统（相当于智能调度中枢和专用插件等），已在内部及自有产品落地应用。

通过扮演安全问答专家和安全运营专家辅助运营。问答场景面向安全运维人员提供安全专业领域知识的赋能，并通过训练企业私域知识成为企业专属知识库。安全运营场景提供告警辅助研判、高级溯源分析、安全态势分析、安全事件预警等能力，对安全运营工作中的高频、重点场景提供支撑。

基于在通用模型基础上投喂安全知识语料库二次训练出的安全大模型打造而成，集成到腾讯安全产品中，可在产品界面、平台托盘、告警解释甚至在企业微信对话列表中通过自然语言唤起交互。

覆盖告警解释、漏洞修复、日志处理、智能客服等能力，宛如一个贴身伴行的虚拟安全专家。安全人员通过AI安全助手可直接对话腾讯安全知识库和情报威胁库，以更简单的方式执行漏洞扫描、漏洞修复、日志查询等操作，从繁琐硬核的操作中解放出来。

在文心大模型、ChatGLM生成式大模型的基础上，收集海量网络安全领域文本数据，经过清洗和预处理后作为输入语料，使用P-Tuning技术进行模型调优，底层拥有28层Transformer结构、总参数量达60亿+。

在应用上定位为一个辅助执行安全运营任务的智能机器人，可构建全面的知识图谱安全事件，根据给定的任务语句实现任务处理，比如钓鱼邮件检测、漏洞库知识专业解答、网络安全知识问答、图片文字识别提取以及AI辅助提升攻防效率等，降低安全运营数据的使用门槛，加速问题处置和事件响应。

基于阿里云通义千问大模型，以及云上全域威胁图谱超千千亿节点、千亿边关系网，亿级恶意IP、域名、URL训练而成。

首期开放的功能包括为用户提供定制化的安全告警解读、事件调查及处置建议服务，覆盖全网超过99%的告警事件类型。以专家视角提供研判思路，先于安全运营人员提出思考降低经验依赖。支持层层深入对话，多轮提问后均可保持对话逻辑上下连贯。

基于自研技术，例如预训练阶段tokenizer采用QPiece算法，在推理阶段使用高效加速框架，在预训练数据层面，具有百万亿级的安全日志、文档、知识库、情报类数据，存储体量达数百PB。

定位为虚拟安全专家进行智能分析和自动研判，可以实时、自动为企业研判全部告警，避免漏报和误报。官方测算单位时间工作效率为安全专家的16倍，一台机器人能提供相当于60多位安全专家的运营效益。

依托16年实战经验积累形成的大量细分领域安全知识数据，将其转化为平台级能力知识数据，经过七轮大规模的增量预训练和数十次微调而成，并基于该大模型升级安恒安全运营平台。

提供数据整合和分析功能，能够从各种安全工具和数据源中收集、整合和分析信息，能够与态势感知、资产管理系统、威胁情报平台、漏洞管理系统等集成，从而实现全面的威胁情报分析和事件响应。通过大模型技术自动识别和分析安全事件，学习和适应新的威胁模式，从而提高对位置威胁的检测能力。

基于核心算法支持（包括程序语言大模型、自然语言大模型以及多模态、多场景迁移学习等），提供威胁检测大模型和安全运营大模型服务与能力。

在安全运营方面，被应用于金睛云华的产品和解决方案当中，形成攻守兼备的、智能的、闭环的安全运营体系，能够提供更好的事件处置和响应服务，以及更丰富的上下文和解释性，将响应和调查的动作标准化和自动化，从而实现7*24H全自动化无人值守的安全运营。

以多年沉淀的百亿级安全告警日志、百万级攻击payload、漏洞&情报知识库为基础语料，辅以多年红蓝演练经验和业界顶尖安全专家打标预训练而成。

依托于观安态势分析平台，对日志、告警、情报、资产等数据进行更长更广的上下文分析，为告警降噪、自动化研判分析提供有力保证。通过观安GPT+对日志进行层层压降，并对最终可靠的事件进行自动化处置，将能极大地提升企业安全运营的效率和效果。

以上是安全419针对过去一年国内公开发布的、主要面向安全运营领域的安全大模型及其产品的不完全观察总结。主要关注安全大模型的语料来源和生成训练方式，在产品侧的应用设计，功能和能力上的表现，以及投入市场使用后的反馈。

绝大多数推出安全大模型及其产品应用的厂商，都选择了从安全运营切入进行融合。传统的安全运营体系瓶颈明显，大模型具备的能力与安全运营工作的需求适配度极高，可明显简化和加速日常工作流程，降低安全运营对人员的依赖。

当前发布了安全大模型的厂商，在产品形态上大多通过与态势感知平台、SOC、XDR等安全运营体系的系统进行集成，采用安全专家、智能助手的形式，即通过在对话窗口中进行自然语言交互，来辅助甚至是逐渐主导安全运营工作。

业界已经频频发出安全大模型助力安全运营进入到辅助驾驶甚至是智能驾驶的高阶阶段，但我们更希望能从具体的、经过市场验证的落地案例中，明确观察安全大模型的客户价值和产品效能。

我们将持续关注更多的市场反馈情况，期待搭载安全大模型的自动化且智能化的安全运营帮助到千行百业的企业用户。

另外值得注意的是，部分安全大模型及其应用不仅仅从安全运营方面提升安全水位，厂商也设计在其他细分领域提供更丰富的安全增益，我们将在该系列报道的后续篇章中再展开详谈。